Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Samsung Galaxy Store mendistribusikan aplikasi yang dapat menginfeksi ponsel dengan malware

by

Aplikasi pembajakan film ‘Showbox’ yang berpotensi palsu memicu peringatan Play Protect, dan penyelidikan menunjukkan bahwa mereka dapat mengunduh malware

Max Weinbach dari Android Police pertama kali mencatat masalah tadi malam, melihat beberapa aplikasi berbasis Showbox yang didistribusikan di Galaxy Store, beberapa di antaranya memicu peringatan Google Play Protect saat diinstal.

Analisis salah satu apk Showbox di Virustotal menunjukkan lebih dari selusin peringatan tingkat rendah dari vendor keamanan mulai dari “riskware” hingga adware. Beberapa aplikasi juga meminta izin lebih dari yang Anda harapkan, termasuk akses ke kontak, log panggilan, dan telepon.

Penyelidikan selanjutnya mengungkapkan bahwa teknologi iklan dalam aplikasi mampu melakukan eksekusi kode dinamis, sementara aplikasi itu sendiri saat didistribusikan tidak secara langsung mengandung malware, namun dapat mengunduh dan menjalankan kode lain yang dapat mencakup malware. Linuxct menambahkan bahwa ada sangat sedikit kasus penggunaan yang sah untuk fungsi ini, dan itu dapat dipersenjatai dengan mudah. “Jadi sewaktu-waktu bisa menjadi trojan/malware, oleh karena itu tidak aman dan oleh karena itu banyak vendor menandainya di VT/Play Protect.” Masalah serupa didokumentasikan di setidaknya dua aplikasi Showbox di Galaxy Store, meskipun itu juga dapat memengaruhi yang lain.

Deskripsi aplikasi mengklaim bahwa mereka tidak menghosting konten bajakan dan tidak mengaktifkan pembajakan. Kami belum menguji setiap aplikasi yang melanggar satu per satu, mengingat sifat peringatan yang dilampirkan pada pemasangannya, dan tidak dapat secara langsung mengonfirmasi apakah aplikasi saat ini menyediakan akses ke konten bajakan. Namun, nama tersebut memiliki reputasi itu, dan “pakar” lain yang lebih memilih untuk tetap anonim meyakinkan saya bahwa aplikasi tersebut pada satu titik memungkinkan pembajakan. Sumber aplikasi Showbox yang dihosting sendiri membuat klaim serupa, mengiklankan aplikasi sebagai aplikasi “basis data film” dengan VPN terintegrasi — wink wink

Subreddit Showbox mencatat bahwa Showbox “turun”, telah berlangsung selama hampir dua tahun, dan bahwa situs web dan aplikasi pihak ketiga yang mengaku terkait adalah “palsu.” Google, kami harus perhatikan, tidak meng-host aplikasi apa pun yang dipermasalahkan di Play Store.

Samsung Galaxy Store tidak melacak jumlah penginstalan, tetapi aplikasi yang dipermasalahkan secara kumulatif memiliki ratusan ulasan, termasuk beberapa yang mencatat peringatan malware pada saat penginstalan. Kami telah menghubungi Samsung untuk menanyakan apakah mereka mengetahui bahwa Galaxy Store-nya mungkin mendistribusikan malware atau apakah mereka mengetahui reputasi Showbox untuk mengaktifkan pembajakan, tetapi perusahaan tidak segera menanggapi pertanyaan kami. Kami juga telah menghubungi pengembang beberapa aplikasi yang dipermasalahkan, tetapi setidaknya salah satu email kontak yang terdaftar terpental kembali.

Sumber : Android Police

Trojan perbankan Android menyebar melalui halaman Google Play Store palsu

by

Trojan perbankan Android yang menargetkan Itaú Unibanco, penyedia layanan keuangan besar di Brasil dengan 55 juta pelanggan di seluruh dunia, telah menerapkan trik yang tidak biasa untuk menyebar ke perangkat.

Para aktor telah menyiapkan halaman yang terlihat sangat mirip dengan toko aplikasi resmi Google Play Android untuk mengelabui pengunjung agar berpikir bahwa mereka memasang aplikasi dari layanan tepercaya.

Sumber: BleepingComputer

Malware tersebut berpura-pura menjadi aplikasi perbankan resmi untuk Itaú Unibanco dan menampilkan ikon yang sama dengan aplikasi yang sah.

Jika pengguna mengklik tombol “Instal”, mereka ditawari untuk mengunduh APK, yang merupakan tanda pertama penipuan. Aplikasi Google Play Store diinstal melalui antarmuka toko, tidak pernah meminta pengguna untuk mengunduh dan menginstal program secara manual.

Para peneliti di Cyble menganalisis malware, menemukan bahwa setelah dieksekusi, ia mencoba membuka aplikasi Itaú yang sebenarnya dari Play Store yang sebenarnya.

Jika berhasil, ia menggunakan aplikasi yang sebenarnya untuk melakukan transaksi penipuan dengan mengubah bidang input pengguna.

Aplikasi tidak meminta izin berbahaya apa pun selama penginstalan, sehingga menghindari peningkatan deteksi yang mencurigakan atau berisiko dari AV.

Alih-alih, malware ini memiliki tujuan untuk memanfaatkan Layanan Aksesibilitas, yang merupakan semua yang dibutuhkan oleh malware seluler untuk melewati semua keamanan di sistem Android.

Hanya pengguna yang memiliki kesempatan untuk melihat tanda-tanda penyalahgunaan dan menghentikan malware sebelum sempat melakukan tindakan merusak pada perangkat.

Tanda-tanda ini datang dalam bentuk aplikasi yang meminta izin untuk melakukan gerakan, mengambil konten jendela, dan mengamati tindakan pengguna.

Selengkapnya: Bleeping Computer

Malware BLISTER menyelinap masuk tanpa diketahui di sistem Windows

by

Peneliti keamanan telah menemukan kampanye jahat yang mengandalkan sertifikat penandatanganan kode yang valid untuk menyamarkan kode berbahaya sebagai file executable yang sah.

Salah satu muatan yang oleh para peneliti disebut Blister, bertindak sebagai pemuat malware lain dan tampaknya menjadi ancaman baru yang menikmati tingkat deteksi rendah.

Pelaku ancaman di balik Blister telah mengandalkan beberapa teknik untuk menjaga serangan mereka di bawah radar, penggunaan sertifikat penandatanganan kode hanya salah satu trik mereka.

Dalam posting blog minggu ini, Elastic mengatakan bahwa mereka secara bertanggung jawab melaporkan sertifikat yang disalahgunakan ke Sectigo sehingga dapat dicabut.

Para peneliti mengatakan bahwa pelaku ancaman mengandalkan berbagai teknik untuk menjaga agar serangan tidak terdeteksi. Salah satu metodenya adalah menyematkan malware Blister ke pustaka yang sah (mis. colorui.dll).

Malware kemudian dieksekusi dengan hak istimewa melalui perintah rundll32. Ditandatangani dengan sertifikat yang valid dan digunakan dengan hak administrator membuat Blister lolos dari solusi keamanan.

Pada langkah berikutnya, Blister memecahkan kode dari kode bootstrap bagian sumber daya yang “sangat dikaburkan,” kata peneliti Elastic. Selama sepuluh menit, kode tetap tidak aktif, kemungkinan dalam upaya untuk menghindari analisis sandbox.

Kemudian beraksi dengan mendekripsi muatan tertanam yang menyediakan akses jarak jauh dan memungkinkan gerakan lateral: Cobalt Strike dan BitRAT – keduanya telah digunakan oleh beberapa pelaku ancaman di masa lalu.

Selengkapnya: Bleeping Computer

Emotet mulai menjatuhkan Cobalt Strike lagi untuk serangan yang lebih cepat

by

Tepat pada waktunya untuk liburan, malware Emotet yang terkenal sekali lagi secara langsung memasang beacon Cobalt Strike untuk serangan siber yang cepat.

Bagi mereka yang tidak akrab dengan Emotet, Emotet dianggap sebagai salah satu infeksi malware paling luas dan didistribusikan melalui email phishing yang menyertakan lampiran berbahaya.

Secara historis, setelah perangkat terinfeksi, Emotet akan mencuri email korban untuk digunakan dalam kampanye mendatang dan kemudian menjatuhkan muatan malware, seperti TrickBot dan Qbot.

Namun, awal bulan ini, Emotet mulai menguji pemasangan beacon Cobalt Strike pada perangkat yang terinfeksi alih-alih muatan reguler mereka.

Cobalt Strike adalah alat pentesting sah yang biasanya digunakan oleh pelaku ancaman untuk menyebar secara lateral melalui organisasi dan akhirnya menyebarkan ransomware di jaringan.

Joseph Roosen dari grup Cryptolaemus Emotet mengatakan kepada BleepingComputer bahwa Emotet sekarang mengunduh modul Cobalt Strike langsung dari server perintah dan kontrolnya dan kemudian menjalankannya di perangkat yang terinfeksi.

Dengan beacon Cobalt Strike yang dipasang langsung oleh Emotet, pelaku ancaman yang menggunakannya untuk menyebar secara lateral melalui jaringan, mencuri file, dan menyebarkan malware akan memiliki akses langsung ke jaringan yang disusupi.

Akses ini akan mempercepat proses serangan, dan dengan itu tepat sebelum liburan, Emotet dapat menyebabkan banyak pelanggaran karena perusahaan sekarang memiliki staf yang terbatas untuk memantau dan menanggapi serangan.

Selengkapnya: Bleeping Computer

Malware pencuri informasi TinyNuke kembali menyerang pengguna Prancis

by

Malware pencuri informasi TinyNuke telah muncul kembali dalam kampanye baru yang menargetkan pengguna Prancis dengan umpan bertema faktur dalam email yang dikirim ke alamat perusahaan dan individu yang bekerja di bidang manufaktur, teknologi, konstruksi, dan layanan bisnis.

Tujuan dari kampanye ini adalah untuk mencuri kredensial dan informasi pribadi lainnya dan menginstal muatan tambahan ke sistem yang disusupi.

Menurut peneliti di Proofpoint yang telah mengikuti kampanye ini, kemunculan kembali ini bermanifestasi melalui dua rangkaian aktivitas yang berbeda, dengan infrastruktur C2 terpisah, muatan, dan tema iming-iming.

Ini juga dapat menunjukkan bahwa malware digunakan oleh dua aktor berbeda, satu terkait dengan aktor TinyNuke awal dan satu terkait dengan aktor yang biasanya menggunakan alat komoditas.

Aktor tersebut mengkompromikan situs web Prancis yang sah untuk meng-host URL payload, sementara yang dapat dieksekusi disamarkan sebagai perangkat lunak yang tidak berbahaya.

Dalam hal kemampuan, payload TinyNuke dapat mencuri kredensial dengan kemampuan mengambil formulir dan kemampuan web-inject untuk Firefox, Internet Explorer, dan Chrome, dan juga dapat memasang muatan tambahan.

Sangat penting untuk tetap waspada dan menghindari mengklik tombol tersemat yang mengarah ke situs yang menghosting executable terkompresi berbahaya.

Karena situs-situs ini dinyatakan sah, solusi keamanan Internet Anda mungkin tidak menimbulkan tanda apa pun, jadi disarankan untuk sangat berhati-hati.

Selengkapnya: Bleeping Computer

Kampanye phishing menggunakan macro PowerPoint untuk menjatuhkan Agent Tesla

by

Varian baru dari malware Agent Tesla telah terlihat dalam kampanye phishing yang sedang berlangsung yang mengandalkan dokumen Microsoft PowerPoint yang dicampur dengan kode macro berbahaya.

Agent Tesla adalah pencuri informasi berbasis .Net yang telah beredar di internet selama bertahun-tahun tetapi tetap menjadi ancaman di tangan pelaku phishing.

Dalam kampanye terbaru, peneliti di Fortinet menjelaskan bahwa pelaku ancaman menargetkan pengguna Korea dengan email yang diduga berisi detail “pesanan”.

Karena lampiran adalah file PowerPoint, kemungkinan meyakinkan penerima bahwa mereka perlu “mengaktifkan konten” di Microsoft Office untuk melihatnya dengan benar meningkat.

Agent Tesla memiliki keylogger, cookie browser dan pencuri kredensial yang disimpan, sniffer data Clipboard, dan bahkan alat tangkapan layar.

Penyerang dapat memilih fitur mana yang akan diaktifkan selama kompilasi payload, sehingga memilih antara keseimbangan kekuatan dan siluman.

Secara total, Agent Tesla dapat mengambil data dari lebih dari 70 aplikasi, dengan yang paling populer tercantum di bawah ini.

Chromium-based Web Browsers:

Epic Privacy, Uran, Chedot, Comodo Dragon, Chromium, Orbitum, Cool Novo, Sputnik, Coowon, Brave, Liebao Browser, Elements Browser, Sleipnir 6, Vivaldi, 360 Browser, Torch Browser, Yandex Browser, QIP Surf, Amigo, Kometa, Citrio, Opera Browser, CentBrowser, 7Star, Coccoc, and Iridium Browser

Web Browsers:

Chrome, Microsoft Edge, Firefox, Safari, IceCat, Waterfox, Tencent QQBrowser, Flock Browser, SeaMonkey, IceDragon, Falkon, UCBrowser, Cyberfox, K-Meleon, PaleMoon

VPN clients:

OpenVPN, NordVPN, RealVNC, TightVNC, UltraVNC, Private Internet Access VPN

Dan masih banyak lagi. Lalu bagaimana cara melindungi diri dari Agent Tesla?
Pertahankan perisai keamanan Internet Anda, perbarui perangkat lunak Anda, Nonaktifkan macro Microsoft Office Anda, dan kendalikan rasa ingin tahu Anda.

Selengkapnya: Bleeping Computer

Microsoft merebut kendali situs web yang digunakan oleh peretas yang didukung China

by Leave a Comment

Microsoft telah menguasai sejumlah situs web yang digunakan oleh kelompok peretas yang didukung pemerintah China untuk menargetkan organisasi di 29 negara, termasuk AS.

Unit Kejahatan Digital Microsoft (DCI) mengatakan pada hari Senin bahwa pengadilan federal di Virginia telah memberikan perintah yang memungkinkan perusahaan untuk mengendalikan situs web dan mengarahkan lalu lintas ke server Microsoft.

Situs web jahat ini digunakan oleh kelompok peretas yang disponsori negara yang dikenal sebagai Nickel, atau APT15, untuk mengumpulkan intelijen dari lembaga pemerintah, lembaga think tank, dan organisasi hak asasi manusia, menurut perusahaan tersebut.

Microsoft tidak menyebutkan target Nickel, tetapi mengatakan kelompok itu menargetkan organisasi di AS dan 28 negara lainnya. Ia menambahkan bahwa “sering ada korelasi antara target Nickel dan kepentingan geopolitik China.”

Selain AS, Nikel juga menargetkan organisasi di Argentina, Barbados, Bosnia dan Herzegovina, Brasil, Bulgaria, Chili, Kolombia, Kroasia, Republik Ceko, Republik Dominika, Ekuador, El Salvador, Prancis, Guatemala, Honduras, Hongaria, Italia, Jamaika, Mali, Meksiko, Montenegro, Panama, Peru, Portugal, Swiss, Trinidad dan Tobago, Inggris dan Venezuela.

Microsoft, yang telah melacak Nickel sejak 2016 dan sebelumnya menggambarkannya sebagai salah satu kelompok peretasan “paling aktif” yang menargetkan lembaga pemerintah, mengatakan pihaknya mengamati serangan “sangat canggih” yang memasang malware yang sulit dideteksi yang memiliki kemampuan intrusi, pengawasan, dan pencurian data.

Selengkapnya: Tech Crunch

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

by

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News